Odborníci radí: U Wi-Fi kombinujte více metod

Krátký průzkum, který provedla firma Z/Yen Limited na zakázku RSA Security, opět potvrdil to, čeho se mnozí obávali W...


Krátký průzkum, který provedla firma Z/Yen Limited na zakázku RSA Security,
opět potvrdil to, čeho se mnozí obávali Wi-Fi sítě jsou velmi nebezpečné pro
data svých provozovatelů. Situace se přitom rapidně zhoršuje. Stejný průzkum v
části Londýna proběhl i před rokem a letos čísla překvapila ještě nepříjemněji.
Podle průzkumu, který Computerworld exkluzivně získal, celých 63 % přístupových
bodů bylo ponecháno pouze se základním nastavením (ne)bezpečnosti. Firmy, které
v tomto průzkumu provozují Wi-Fi hot-spoty, uvádějí jako hlavní důvod využívání
této bezdrátové technologie pohodlí zaměstnanců. Mohou chodit po budově, i mezi
budovami, a jsou stále připojeni do sítě.
Největší nebezpečí napadení hrozí uživatelským notebookům s bezdrátovými
kartami. Jak se uvádí v průzkumu, tato zařízení jsou obvykle ne příliš dobře
chráněna, přesto ovšem sdílejí přístup k dalším firemním zdrojům. Pak se stačí
jednoduše dostat na takový notebook a útočník má přístup ke všem zdrojům, ke
kterým má přístup uživatel z notebooku.
V rámci dalšího experimentu nazvaného HoneyPot vytvořili průzkumníci z firmy
Z/Yen Limited v Londýně dvě falešné bezdrátové sítě a zaznamenávali počet
hackerů, kteří se pokusí zneužít je k protizákonnému jednání.
Během třítýdenního experimentu hackeři sítě odhalili a využili v průměru každý
druhý den. K oběma bezdrátovým sítím bylo realizováno 29 neautorizovaných
připojení, přičemž každý čtvrtý neoprávněný uživatel se pokusil využít síť
protizákonně. Zbývajících 75 % uživatelů se k síti připojilo nejspíš neúmyslně.
Vinen byl pravděpodobně operační systém Windows XP na jejich laptopech. Je-li
totiž nastaven určitým způsobem, může rozpoznat nové bezdrátové sítě ve svém
okolí a připojit se k nim automaticky.
Jedním z detailů, který není příliš známý, je také pojmenovávání provozované
sítě. Ideální je nicneříkající název, který náhodného "návštěvníka" nebude
lákat ke vstupu. Bohužel třetina sítí v průzkumu nesla jméno své organizace,
takže bylo jasné, o koho se jedná.
Zde se dostáváme k ponechání základního nastavení pokud totiž necháme na
softwaru, aby zařízení automaticky standardně nastavil, vytvoří jméno
přístupového bodu jako složeninu názvu výrobce, MAC adresy zařízení či další
zajímavé informace, která se bude jistě hodit potenciálnímu útočníkovi.

WEP bez šancí
Bezpečnost Wi-Fi zajišťovaná pomocí technologie WEP (Wired Equivalent Privacy)
je dnes již zastaralou metodou, které se nelekne ani hackerský elév. Na to
upozorňuje i bezpečnostní expert Juraj Bednár, který tvrdí, že WEP opravdu není
příliš seriózní ochranou. "Osobně nepoužívám WEPem šifrovanou síť, ale protokol
CIPE (Crypto IP Encapsulation), který tvoří bezpečný tunel k mému serveru,"
vysvětluje způsob zabezpečení své bezdrátové komunikace Juraj Bednár a dodává
také na adresu bezpečné komunikace: "Velmi důležité je uvědomit si, že pokud
někdo chce bezpečné a stabilní spojení, momentálně jediné rozumné řešení je
optický kabel." Na otázku Computerworldu, zda si opravdu myslí, že je zbytečné
používat WEP, stručně odpovídá: "Ano."

Wi-Fi už není jen 802.11b
"Tento rok bude rokem zásadního zvýšení bezpečnosti bezdrátových sítí," soudí
Dennis Eaton, předseda neziskové Wi-Fi aliance (www.weca.net Wi-Fi Alliance),
která mj. například certifikuje produkty pro standardy 802.11 dané organizací
IEEE (Institute Electrical and Electronics Engineers). Aliance určuje rovněž
také to, co se bude nazývat zkratkou Wi-Fi (Wireless Fidelity). Zatím se totiž
jednalo o standard 802.11b, ale nově by se mělo označení Wi-Fi týkat i
standardu 802.11a a přicházejícího 802.11g.
Nejpoužívanější 802.11b standard pracuje na frekvenci 2,4 GHz
elektromagnetického spektra a dovoluje uživatelům transfer dat o maximální
teoretické rychlosti 11 Mb/s. Bohužel většina bezdrátových produktů, jako jsou
například bezdrátové telefony, otvírače garáží a další, používají právě tuto
frekvenci, takže její rušení je silné.
Standard 802.11a pracuje na frekvenci 5 GHz, která není tolik rušena a dovoluje
teoretickou rychlost transferu dat 54 Mb/s. Má ovšem kratší dosah zhruba od 15
do 22,5 metrů. Produkty 802.11a také nejsou kompatibilní s produkty pro 802.11b
kvůli rozdílným frekvencím. 802.11a hot-spoty rovněž nelze jednoduše nalézt.
IEEE připravuje finální specifikaci pro standard 802.11g, který kombinuje
využití frekvence 2,4 GHz s rychlostmi, jež nabízí 802.11a. Produkty jsou k
mání dokonce již nyní, postavené na základě pracovní verze standardu. Výrobci
přitom tvrdí, že poté, co bude standard v polovině roku finalizován, stačí jen
update firmwaru produktů a budou pracovat bez problémů.

Nebezpečí vidí také aliance
WEP již nestačí, takže se chystá novinka Wi-Fi Protected Access (WPA), jejíž
specifikace bude známa na konci dubna. "WPA poskytne mnohem vyšší úroveň
bezpečnosti než WEP. Technologie by měla zamezit útokům známým v současnosti a
rovněž bude pracovat se stávajícími produkty," říká Dennis Eaton.
WPA bude obsahovat několik nových technologií, které se ve WEPu nenacházejí.
Například zlepšený management klíčů a TKIP (Temporal Key Integrity Protocol).
Jakmile bude tento rok ratifikována finální verze bezpečnostního standardu
802.11i pro bezdrátové sítě, přibude nový bezpečnostní protokol známý jako CCMP
(Counter with Cipher Block Chaining Message Authentication Code Protocol).
I podle analytiků by se měla bezpečnost těmito kroky výrazně zvýšit. Analytik
Isaac Ro z Aberdeen Group soudí, že manažeři IT budou dnes ještě stále vyčkávat
s instalací další bezdrátových sítí, protože WEP opravdu není bezpečný,
současná vylepšení příliš proprietární a WPA je ještě kus cesty před nimi

Na dobré VPN hacker obvykle skončí
Zeptali jsme se dvou odborníků na bezdrátové technologie.
Jak se hackeři mohou dostat do vaší Wi-Fi sítě a jak se proti takovým útokům co
možná nejlépe bránit?
Můžete popsat mechanismy, jak jsou Wi-Fi sítě napadnutelné či lehce
zneužitelné? Nechci nikomu dávat návod, jak se prostřednictvím volně dostupných
nástrojů do bezdrátové sítě "vlomit", ale věřte mi, že je to mnohdy velmi
snadné. Proto alespoň základní fakta uvedu konkrétně.
Nejprve je nutné detekovat přítomnost bezdrátových sítí. Program Netstumbler to
provede za vás. Tuto činnost často administrátoři sítě usnadňují tím, že
nezamezí broadcastu ESSID (názvu bezdrátové sítě). Pokud je tomu tak, program
Netstumbler provede detekci za vás. Ale i v případě, že tato informace není
vysílána, lze poměrně spolehlivě zjistit existenci bezdrátové sítě skenováním
jednotlivých dostupných kanálů nástroji, jako jsou Sniffer či Airopeek. Takže
první "zámek" padl.
Nyní nastupuje základní otázka: Je síť chráněna WEP algoritmem, hlídá si MAC
adresy či používá nějakou z proprietárních technologií ke svému zabezpečení?
Pokud si hlídá jen MAC adresy povolených zařízení, není problém toto
zabezpečení obejít a naklonovat si některou z odposlechnutých adres případně
pokud je MAC adresa svázaná s IP adresou, tak naklonovat i IP. Protože je
bezdrátová komunikace podobná komunikaci na hubu (opakovači), systém nemá
možnost detekce, zda mluví jen s jedním, nebo dvěma z jeho pohledu identickými
systémy. Potom zámek padl a jste v síti.
Pokud je bezdrátová síť zabezpečena navíc WEP technologií, je třeba zlomit
šifru. Protože WEP používá statický klíč, ani toto není závažnější překážka
stačí mít správný program, získat dostatek vzorků a provést jejich analýzu
vhodnou aplikací. Klíč je na světě za několik hodin, maximálně dní v závislosti
na rychlosti získání "vzorků".
Pokud je síť zabezpečena proprietární technologií, je třeba zjistit výrobce,
popis jeho technologie a hledat, zda použitá technologie nemá nějaké slabé
místo. I ta se mnohdy najdou. Pokud síť používá internetových technologií
vytváření virtuálních privátních sítí (VPN), je pátrání u konce. Zlomit DES či
3DES šifru není v silách libovolně zdatného jednotlivce.
Kde dělají správci těchto sítí největší bezpečnostní chyby?
To by bylo určitě na samostatný článek. Pokud to vezmu velmi stručně,
nepoužívají obvykle všech dostupných metod zabezpečení integrovaných v
bezdrátovém přístupovém bodu. Kombinací všech dostupných metod ve Wi-Fi
zařízeních(zákaz broadcastu ESSID, hlídání MAC adres a WEP šifrováním) v
zařízení se hackerovi obvykle nevyplatí strávit čas lámáním všech systémů a jde
zkusit štestí jinam.
Toto obvykle platí pro takzvané "warpery", kteří se do sítě neprobourávají pro
odposlouchávání či záškodnickou činnost, ale jen pro "kradení" přístupu na
internet. Pro zkušeného hackera může být naopak taková síť lahůdkou...
Jaká je podle vás nejvhodnější technologie pro zabezpečení bezdrátových Wi-Fi
sítí a proč?
Nejlépe je používat kombinace všech dostupných metod zabezpečení a v případě
detekce ohrožení či opravdu tajných informací dát kompletní bezdrátovou síť
před perimetr firewallu a veškeré přístupy realizovat prostřednictvím IPSec
technologie. Proprietární rozšíření bezpečnosti je velmi účinným zámkem
například 3Com technologie dynamického generování unikátního klíče (DSL) pro
každé spojení a uživatele se prakticky nedá zlomit.
Můžete popsat mechanismy, jak jsou Wi-Fi sítě napadnutelné či lehce
zneužitelné?
Samotný standard Wi-Fi definuje několik metod pro zabezpečení, které jsou však
nedostatečné. Mezi tyto metody patří: SSID (Service Set Identifier), WEP (Wired
Equivalent Privacy) a MAC address filtering.
Metoda SSID zabezpečuje identifikaci sítě se skupinou zařízení, která spolu
komunikují. Kdo nezná správné SSID, nedostane se do této skupiny. SSID je
obsaženo v záhlaví, které není zabezpečeno a dá se zjistit například síťovým
analyzátorem.
Metoda WEP slouží k šifrování dat, která jsou přenášena přes bezdrátová
zařízení. Jedná se o metodu statického klíče, kdy zařízení, která spolu
komunikují, musí mít nastavený stejný klíč pro šifrování. K tomuto klíči je
dále přidáván proudovou šifrou inicializační vektor. Tímto vznikne řetězec,
kterým jsou data šifrována operací XOR.
Pro ověřování přístupu klienta se používá metoda otevřené autentizace, tzv.
nulová autentizace, a metoda sdílených klíčů. Tyto metody s metodou WEP úzce
souvisí. Při ověřování jsou obě hodně zranitelné.
Metoda otevřené autentizace je z těchto dvou metod více doporučována, protože
je bezpečnější, ale je nutné ji použít s kombinací klíče WEP. Bez
přednastaveného klíče by měl do sítě přístup každý. U metody sdílených klíčů si
zařízení vyměňují jedním směrem holá data a druhým směrem zašifrovaná data.
Útočník, který bude sledovat tuto výměnu, muže odchytit přenášená data a z nich
si odvodit šifrovací klíč. Také může poslat klientovi e-mail, který je možné
brát jako holá data a poté si počkat a odchytnout šifrovanou verzi svého
e-mailu.
MAC address filtering slouží k ověřování klientů na základě MAC adresy.
Přístupový bod (access point) má v sobě uloženy MAC adresy klientů, kteří mají
povolený přístup do sítě. Tyto adresy mohou být také uloženy na bezpečnostním
serveru typu Radius. Při zjištění MAC adresy klienta je možné použít zařízení,
které umí emulovat tuto adresu, a tím se dostat do sítě.
Zřejmě jeden z nejznámějších programů pro nabourávání se do bezdrátových sítí
je program AirSnort. Tímto programem je možné zhruba do dvou hodin zjistit
SSID, WEP klíč, a následně získat přístup do sítě, pokud nejsou použita některá
další zabezpečení.
Je třeba také uvažovat o možnosti ztráty notebooku.
Kde dělají správci těchto sítí největší bezpečnostní chyby?
Myslí si, že způsoby zabezpečení, které jsou definovány Wi-Fi standardem, jsou
dostatečné, ale není tomu tak. Je třeba použít všechny tyto způsoby a k nim
ještě přidat další, které jsou zatím proprietární, tudíž závislé na výrobci. Je
očekáváno, že časem budou standardizovány další metody pro zabezpečení, které
jsou většinou vyvíjeny samotnými výrobci.
Jaká je podle vás nejvhodnější technologie pro zabezpečení bezdrátových Wi-Fi
sítí a proč?
Existuje několik dalších metod pro zabezpečení. Výhodné je například použít
statický klíč WEP spolu s metodou EAP (Extensible Authentication Protocol),
která je podporována většinou výrobců. Pokud zařízení EAP nepodporují, je možné
použít podporu operačního systému. Jedná se o metodu, která slouží k ověření
klientů na přístupovém bodu. Přístupový bod si ověří práva pro přístup na
bezpečnostním serveru typu Radius. Pokud je ověření pozitivní, je povolen
klientovi přístup do sítě.
Další metodou zabezpečení může být TKIP (Temporal Key Integrity Protocol).
Jedná se o různé klíče pro různé pakety zde je prakticky nemožné zprávu
rozšifrovat. Nové klíče je možné hromadně rozesílat všem klientům ve stanoveném
intervalu. K tomuto je potřeba použít bezpečnostní server typu Radius.
Mezi další metodu patří MIC (Message Integrity Check), která slouží k ochraně
proti útokům na šifrované pakety. Prvek přijme pouze originální pakety a ne ty,
které jsou někým neoprávněným upraveny a přeposlány dál.
Za nejbezpečnější metodu je možné považovat použití aktivních prvků, které by
zajišťovaly šifrování na základě standardů IPSec, AES (Advanced Encryption
Standard). Při komunikaci klientů s přístupovým bodem by bylo vhodné použít VPN
(Virtual Private Network) klienty, kteří by sloužili k vybudování IPSec tunelu
směrem k přístupovému bodu. Tento tunel by mohl být zakončen např. na firewallu
nebo VPN koncentrátoru. Tato zařízení jsou také vhodná pro spojení bod bod, kde
provádějí šifrování mezi sebou.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.